所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
ND Snooping原理描述

ND Snooping原理描述

ND Snooping是通过侦听基于ICMPv6实现的ND报文来建立前缀管理表ND Snooping动态绑定表,使设备可以根据前缀管理表来管理接入用户的IPv6地址,并根据ND Snooping动态绑定表来过滤从非信任接口接收到的非法ND报文,从而可以防止ND攻击的一种安全技术。

基于ICMPv6实现的ND报文

ND协议定义的报文使用ICMP承载,其类型包括以下五种。
  • 邻居请求报文NS(Neighbor Solicitation):IPv6节点(使用IPv6协议的主机或网络设备)通过NS报文可以得到邻居的链路层地址,检查邻居是否可达,也可以进行重复地址检测DAD(Duplicate Address Detect)。
  • 邻居通告报文NA(Neighbor Advertisement):NA报文是IPv6节点对NS报文的响应,同时IPv6节点在链路层变化时也可以主动发送NA报文。
  • 路由器请求报文RS(Router Solicitation):IPv6节点启动后,向路由器发出RS报文,以请求网络前缀和其他配置信息,用于IPv6节点地址的自动配置。路由器则会以RA报文进行响应。
  • 路由器通告报文RA(Router Advertisement):路由器周期性的发布RA报文,其中包括网络前缀等网络配置的关键信息,或者路由器以RA报文响应RS报文。
  • 重定向报文RR(Redirect):路由器发现报文的入接口和出接口相同时,可以通过重定向报文通知主机选择另外一个更好的下一跳地址进行后续报文的发送。

ND Snooping信任接口/非信任接口

为了区分可信任和不可信任的IPv6节点,ND Snooping将设备连接IPv6节点的接口区分为以下两种角色。
  • ND Snooping信任接口:该类型接口用于连接可信任的IPv6节点,对于从该类型接口接收到的ND报文,设备正常转发,同时设备会根据接收到的RA报文建立前缀管理表。
  • ND Snooping非信任接口:该类型接口用于连接不可信任的IPv6节点,对于从该类型接口接收到的RA报文,设备认为是非法报文直接丢弃;对于收到的NA/NS/RS报文,如果该接口或接口所在的VLAN使能了ND报文合法性检查功能,设备会根据ND Snooping动态绑定表对NA/NS/RS报文进行绑定表匹配检查,当报文不符合绑定表关系时,则认为该报文是非法用户报文直接丢弃;对于收到的其他类型ND报文,设备正常转发

前缀管理表

通过无状态地址自动配置方式获取IPv6地址的用户,其IPv6地址是根据路由器发送的RA报文中的网络前缀等配置信息来自动生成的。配置ND Snooping功能后,设备通过侦听从ND Snooping信任接口接收到的RA报文,可以生成前缀管理表(表项内容包括前缀、前缀长度、前缀老化租期等信息)供管理员查看,以方便灵活管理这些用户的IPv6地址。

ND Snooping动态绑定表

ND Snooping动态绑定表的表项内容包括报文的源IPv6地址、源MAC地址、所属VLAN和入接口等信息,可用于设备对从非信任接口接收到的NA/NS/RS报文进行绑定表匹配检查,从而可以过滤非法的NA/NS/RS报文。

ND Snooping动态绑定表的新建、更新机制

配置ND Snooping功能后,设备通过检查NS报文来建立ND Snooping动态绑定表;通过检查NS/NA报文来更新ND Snooping动态绑定表。

ND Snooping动态绑定表的新建、更新机制如下:

设备收到NS报文后,首先根据报文中的Target Address查找是否有对应的ND Snooping动态绑定表表项。
说明:

Target Address表示请求目标的IP地址。不能是组播地址,可以是本地链路、本地站点、全局地址。

  • 如果没有,并且,报文中的Target Address能够匹配用户的前缀管理表表项,则新建ND Snooping动态绑定表表项。
  • 如果有,则判断NS报文的MAC地址、入端口信息与现有该表项的MAC地址、入端口信息是否一致。
    • 一致,则更新对应表项中用户的地址租期;
    • 不一致,则根据该NS报文更新对应表项。
设备收到NA报文后,根据报文的IP地址查找是否有对应的ND Snooping动态绑定表表项。
  • 如果没有,则丢弃该NA报文。
  • 如果有,则判断NA报文的端口信息与现有表项的是否一致。
    • 一致,则更新对应绑定表表项中用户地址租期;
    • 不一致,说明该NA报文与现有表项冲突,此时会触发设备发送NS报文探测用户是否在线。
      • 如果在表项生存时间内,设备从表项对应的端口上收到NA报文,说明该用户仍然在线,更新对应表项中用户的地址租期。
      • 如果在表项生存时间内,设备没有从表项对应的端口上收到NA报文,说明该用户已经下线,更新对应表项中用户的地址租期并将表项的端口更新为新端口。
      说明:
      设备收到与绑定表冲突的NA报文后,触发用户在线状态探测功能时,用户在线状态的定时探测功能暂停。

ND Snooping动态绑定表的删除老化机制

ND Snooping动态绑定表的删除老化机制如下:

ND Snooping动态绑定表项的自动老化时间是由ND用户的地址租期决定的。
  • 如果用户地址租期时间已到期,则ND Snooping动态绑定表项会自动老化。

  • 在用户的地址租期未到期的情况下,存在以下两种删除ND Snooping动态绑定表项的情形:
    • 当设备收到用户的NS报文新建或更新ND Snooping动态绑定表项后,如果又收到了其他用户回应的通知该用户地址已被使用的NA报文,则设备会删除该ND Snooping动态绑定表项。
    • 当用户实际已经下线,该用户对应的ND Snooping动态绑定表项不会被及时删除。如果设备上使能了自动探测ND Snooping动态绑定表项对应用户的在线状态功能,则设备会根据配置的探测次数和探测时间间隔向对应用户发送NS探测报文。在发出探测次数的NS探测报文后,用户仍然没有回应NA报文,设备则认为该用户不在线,删除该用户对应的ND Snooping动态绑定表项。
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:32420

下载量:937

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页